关于这次DNS攻击，来自红客联盟的消息

YIFAN03

igetit 发表于 2014-1-28 12:37
http://www.root-servers.org/
根服务器列表

高手dlcat说这个是私服

dlcat

你真是偏执狂，还搞这么多，我还是那句话，去CU谈，一样的内容，那里专业性没问题吧？

YIFAN03

dlcat 发表于 2014-1-28 12:55
你真是偏执狂，还搞这么多，我还是那句话，去CU谈，一样的内容，那里专业性没问题吧？ ...

咱不是没发和你交流吗，你说是私服，那就是私服呗。
你说USB感染硬件，感染Linux，那就感染呗。

lingg

呼，好长的楼，终于爬完了。。

我个人认同YIFAN03的观点：一切皆有可能
我个人觉得YIFAN03有激动的小脏话，是不合适的
我个人觉得DLCAT确实很嚣张，完全强调黑客啥都干不了，这个是要无数安全公司下岗的节奏，是不符合当前潮流的

我说二位，你们继续，就是语气别太激动，别发展到问候谁家里人就行

GreenTreePython

没明白两位为什么要争论，两位应该都认可这次的事件是GFW上出错引起的吧。

YIFAN03

GreenTreePython 发表于 2014-1-28 14:32
没明白两位为什么要争论，两位应该都认可这次的事件是GFW上出错引起的吧。 ...

没错，我第四个假设就是说gfw发动攻击的。
同时我说也有可能是黑客发动攻击，只是说可能，
技术上也能实现。dlcat就开始发飙了不是？
说我是半吊子，不懂技术，不可能技术上实现攻击blahblah

后面的争吵全是针对技术上能否实现攻击的争吵

谁不懂，谁狂妄一目了然

dlcat

lingg 发表于 2014-1-28 14:13
呼，好长的楼，终于爬完了。。

我个人认同YIFAN03的观点：一切皆有可能

恰恰相反，正是有这么多安全设备厂家，才造成黑客根本就没机会做事情，除非管理员比较白痴。
和YIFAN03的争论，是我看到他说竟然可以跨网段做DNS欺骗的反应，这是网络基础知识，类似有人说他可以做永动机一样的基础常识。

YIFAN03

lingg 发表于 2014-1-28 14:13
呼，好长的楼，终于爬完了。。

我个人认同YIFAN03的观点：一切皆有可能

理解我观点的人自然看得一清二楚
我骂的一些话，完全是被他那狂妄的语气给挑起来的

他知道理亏，都不敢回，比如79楼

YIFAN03

dlcat 发表于 2014-1-28 16:39
恰恰相反，正是有这么多安全设备厂家，才造成黑客根本就没机会做事情，除非管理员比较白痴。
和YIFAN03的 ...

还在说不可能，简直不可理喻

lingg

dlcat 发表于 2014-1-28 15:39
恰恰相反，正是有这么多安全设备厂家，才造成黑客根本就没机会做事情，除非管理员比较白痴。
和YIFAN03的 ...

我个人觉得啊，没事可以讨论，都别上火，你们2位看起来年纪都挺大了，降降火吧，别攻击别人。IT领域这么大，我觉得没人能全知。

在安全问题上，我个人认为啊，即便再不可思议的思路，也都是有可能的。每一次被黑成功，都是一次不可能成为了可能。

看你们讨论了一些，我其实几个点还是认同花栗鼠的：

LINUX也不是完全就安全无敌，随便哪个基于LINUX内核的操作系统，不也都还有安全补丁打个不停嘛。我印象中好像是6,7年前，BIND就有一个漏洞，具体后果不记得了，但是也是很严重的，可以直接碰到关键数据。我比较懒。。懒得去查证了，要不你搜搜？

那个USB假设，我也充分相信，有牛人能够写出内置的东西，插上去就是要你命三千的，我机房经验可能没你们多，但是很多服务器上连显示器口都弄个板子给遮了，如此武装到了屁股的做法。。我想可能还是有一定道理的吧

我感觉他好像是在说 入侵拿到的权限不是服务器层的，在网络层直接出了问题，我觉得也是有可能的，不过哪得拿多高的权限才能做这个啊？恩。。好吧，我个人觉得这个可能性不大

YIFAN03

dlcat 发表于 2014-1-28 16:39
恰恰相反，正是有这么多安全设备厂家，才造成黑客根本就没机会做事情，除非管理员比较白痴。
和YIFAN03的 ...

为什么安全领域被投入那么大？
是因为可能被入侵，防范成本很高

不是因为投入巨大，就不可能被入侵了。

你的逻辑完全反过来了

sssddt

symeteor 发表于 2014-1-26 18:51
DNS污染现在国内依然在用，而且是google退出中国后的几年才广泛在GFW上使用。这里说的DNS污染不是说去DNS ...

我只以我的亲身经历说明，近几年多次回国，呆的城市也很多，北上广、青岛、南京、杭州、苏州等好几十个大大小小的城市，每到一个城市，每一天我都会试图访问海外网站，我记得访问银行网站、3CW、HN、JBhifi、RACV、AGL、TPG及几大建筑商的网站都没有问题，足迹论坛、6park、1688、澳华网、澳广等等都打不开网页，基本上都是404错误，必须指出，一直没有出现所谓DNS污染的虚假网站，我个人的这种测试大概有数百上千次吧，一次也没有发生。当然，一些反华网站我没有做过访问尝试，怕惹麻烦，是不是有例外就不知道了。

这个问题我也曾询问国内的朋友，多年以前中国电信宽带有这种DNS污染，会跳转到一个商业网站，近几年已经不见这种情况了。

你这种根据一个或几个帖子来证明中国DNS污染普遍存在的例子很不靠谱，你可以让国内的朋友试验一下。

实际上，DNS污染澳洲前些年也很猖獗，比如在浏览器地址栏输入一个网址，只要有一点点错误，就会给你一个毫不相干的网页，大多数是抽奖、收费软件下载及其它商业推广网页，我使用过的Telstra、Optus、TPG都有，最近4、5年这种情况就基本没有了。

kksp

技术上的东西我就不敢献丑了
只不过就正常的运作流程来说，GFW要做任何升级或者调试更改，大可以在深夜的时候进行，没必要挑下午还是上班时间来进行，这个有点不合常理

symeteor

sssddt 发表于 2014-1-28 19:41
我只以我的亲身经历说明，近几年多次回国，呆的城市也很多，北上广、青岛、南京、杭州、苏州等好几十个大 ...

你举的例子完全不是DNS污染。。。


国内的DNS污染是你发起DNS请求后，在DNS服务器还没有回复之前，GFW就伪装DNS服务器给你返回了包，从而解析到错误地址


你举的国内电信广告的例子，这个是电信利用服务器进行网络劫持，比较常用的是在你访问的页面中插入iframe或者js，一般是让你每天第一次上网会弹出一个电信的页面

你说的澳洲打开一个网址，稍微有点错误，就跳转到某页面。这是人家故意把这些域名注册下来了放网站好么。。。

daniello

YIFAN03 发表于 2014-1-28 00:48
以前厂里的IT系统也是你自己搭的吗？

是的啊。

还自兼网管和系统维护员，含软件和硬件。。。。

5.5

sssddt 发表于 2014-1-28 18:41
我只以我的亲身经历说明，近几年多次回国，呆的城市也很多，北上广、青岛、南京、杭州、苏州等好几十个大 ...

Zhuangability

YIFAN03

daniello 发表于 2014-1-28 21:41
是的啊。

还自兼网管和系统维护员，含软件和硬件。。。。

丹哥真是综合性人才啊，太佩服你了！

thundom

sssddt 发表于 2014-1-28 19:41
我只以我的亲身经历说明，近几年多次回国，呆的城市也很多，北上广、青岛、南京、杭州、苏州等好几十个大 ...

作为天朝百姓出发点还是防政府多一点的比较好，我更相信GFW自己搞的问题。

你说的DNS有没有污染别的不说，其实就是天朝自己搞的最大的DNS污染，劫持。

如果国外的信息都是反动势力不让看，为什么国外的反动势力都没有屏蔽天朝的网站，而且是介绍只有伊朗，朝鲜等几个宇宙真理国家是这个样子的。

民心不在他们那里，他们才会担心。大家安居乐业，政府公正负责，我不相信开通几个网站就动乱了，也不相信大家好日子不过去反政府。苏联倒台，整天说和平演变，其实狗屁，自己造的孽罢了。

thundom

kksp 发表于 2014-1-28 19:51
技术上的东西我就不敢献丑了
只不过就正常的运作流程来说，GFW要做任何升级或者调试更改，大可以在深夜的时 ...

很多东西都可能发生，意外总是有的。

symeteor

audreamer 发表于 2014-1-28 00:12
我们单位的网络过滤器就是bridge连接的，不需要IP地址，它可以看到你在google和youtube搜索的关键字，断 ...

你可以试一下FF的一个插件叫https everywhere

YIFAN03

lingg 发表于 2014-1-28 17:04
我感觉他好像是在说 入侵拿到的权限不是服务器层的，在网络层直接出了问题，我觉得也是有可能的，不过哪得拿多高的权限才能做这个啊？恩。。好吧，我个人觉得这个可能性不大...

首先，感谢你的理解和支持哈。关于对DNS服务的网络攻击，我给简单的解释下：

如果同一个subnet里面有一台机器（不是目标机器DNS SERVER）被入侵了并且被获取管理员权限，同时交换机没有对IP地址和物理端口做绑定的话，那黑客就可以在这台机器上做ARP欺骗的攻击。


通过发送伪装的ARP请求和应答（必要的时候），就可以让自己冒充gateway（对目标机器来说），同时又冒充目标机器（对网关来说）。
这样客户与目标机器之间的通信就被劫持到黑客把持的机器上了。黑客就可以引导客户去访问假的web server或者假的下一级DNS server

对于交换机做了对IP地址和物理端口做绑定的话，恐怕就要先攻陷交换机，解除绑定在实行上面的攻击了。

构造伪装ARP请求包，其实目的mac地址可以不用广播地址ff:ff:ff:ff:ff:ff。欺骗网关的时候目的mac地址可以直接用网关mac地址，这样交换机就不会广播，目标机器DNS SERVER就不会检测到IP 地址冲突。 欺骗目标机器DNS SERVER的时候，反过来目的mac地址用标机器DNS SERVER的mac地址，这样网关也不会检测到地址冲突。这个是我试验通过的。

YIFAN03

对于DNS服务这样的攻击，甚至只需要欺骗gateway，让gateway把请求发往黑客控制的机器，然后黑客返回虚假应答，就足以对dns服务进行投毒了。通过ARP欺骗，真正的dns server被晾在一边，根本没有机会收到服务请求。

节操

sssddt 发表于 2014-1-28 18:41
我只以我的亲身经历说明，近几年多次回国，呆的城市也很多，北上广、青岛、南京、杭州、苏州等好几十个大 ...

澳洲前几天还有，我上网交水费，就是sydneywater的官网，结果给了我一个一看上去就是商业网站的网站。
过了10分钟就好了。

dlcat

说了半天，自己都开始往同一网段说了，你自己开始换概念了？

我问的是你如何实现全国各地多网段同时做DNS欺骗。步骤怎么能通？

这样，你别玩这么复杂的，你在哪个网段，假设是10.10.10.10，你用所谓的ARP给我制造一个假IP，假设是11.10.10.10，不在你哪个网段的，让我能访问到，我立刻和你道歉。

回复也有一些还在相信黑客的。

从2000年开始，对公网能造成影响的，我只知道红码类的做成同网段堵塞，DDOS攻击造成服务器堵塞两种，真正实质更改过网络硬件配置的攻击，只有误操作，做好基本的防范就不可能，从理论上，上传只接受规则脚本，都是文本型的，源、地址、规则，不涉及到任何其他操作，病毒怎么入侵？

全世界多少人梦想做黑客，但是看看最近10年，除了做染毒文件传播，偶尔抓到一个肉鸡，或者扫裸奔没升级老IIS服务器，GUEST用户升级权限更换PAGE成功，别的有对于真正的服务器和网络设备成功的么，根本没空间成功，只能暴力造成堵塞。
先不说违反IOS协议的所谓ARP能跨网段攻击，高手要原谅我说出这么违反基本常识的话。

从外边黑国家层面的DNS，公网的IP背后一色虚拟机，先要通过人家IDS,IPS,到了负载均衡设备上，反向NAT规则没设置，第一步就不可能，设置的管理机器都是电子密钥+口令+IP绑定三道关，机房外国家安全部门重兵把守，这个绑定还是在物理端口上也做绑定，这几道关组合在一起，概率是0，只有管理员误操作。以上假设还有一个大前提，DNS服务器不是只开UDP53, 是所有命令，所有端口都接受。

click

不明觉历
不过我也觉得跨网段dns欺骗技术上不可能。就算可能，黑客也没有硬件实现

lingg

YIFAN03 发表于 2014-1-28 23:47
首先，感谢你的理解和支持哈。关于对DNS服务的网络攻击，我给简单的解释下：

如果同一个subnet里面有一 ...

如果同一个subnet里面有一台机器（不是目标机器DNS SERVER）被入侵了并且被获取管理员权限，同时交换机没有对IP地址和物理端口做绑定的话，那黑客就可以在这台机器上做ARP欺骗的攻击。

通过发送伪装的ARP请求和应答（必要的时候），就可以让自己冒充gateway（对目标机器来说），同时又冒充目标机器（对网关来说）。
这样客户与目标机器之间的通信就被劫持到黑客把持的机器上了。黑客就可以引导客户去访问假的web server或者假的下一级DNS server

对于交换机做了对IP地址和物理端口做绑定的话，恐怕就要先攻陷交换机，解除绑定在实行上面的攻击了。

恩，感谢解释。我猜啊，内网的一台机器被攻陷，很难造成全局根DNS服务器被挟持。

国内的根服务器也是基于ANYCAST，实时同步数据的，在物理上，肯定是分开在各个不同机房的。假设某机房内某台机器出了问题，在做你上面说的这个ARP欺骗，我个人觉得危害应该也就在本地了，影响到一个节点。距离这个机房路程近的所有DNS CACHE服务器都会受到影响。

但是这次似乎是全国出现问题？
(我个人觉得：要黑就必须黑到了这个程度 ->

1. 影响到了所有节点，如果是ARP欺骗，每个内网都被打入。如果是直接黑服务器，必须要黑掉所有的根服务器节点，这样的可能性，真心要炒掉无数人的节奏。
或者 2. 在网络层直接破坏掉ANYCAST，干掉其余节点，所有的TRAFFIC全FAILOVER到唯一一个节点，同时黑掉这个节点的DNS，我还是觉得可能性也不大，这得拿到多少权限才能干成这样的事啊，这么大的权限都拿到了，就黑了个DNS，似乎不应该啊，有点像好不容易偷了万两黄金，却只去地摊上买了碗凉面吃)

我个人有点相信是个误操作，一条匹配语句没写好。

啥时候中国的IT也能出的详细技术报告，一切就都明白了。

bulaohu

dlcat 发表于 2014-1-27 00:00
说别人不明白，我又呵呵的。
在瞬间全国DNS服务不好用之后，过了一会，用google的8.8.8.8的马上又好用了 ...

8.8.8.8还能用正好说明不是GFW出了问题，要知道从国内用8.8.8.8（4.4）解析DNS的话是一定要经过GFW的，GFW想怎么玩你就怎么玩你

bulaohu

dlcat 发表于 2014-1-27 11:23
也许黑个小部门的网络可以，有些小网站基本就是裸奔，或者蓝翔们发黑客软件裸聊什么的劫持个肉鸡，但你知 ...

2013年是Snowden同志谆谆地教导我们美帝的监控到了何种地步的一年，其中的一课就是AT&T的机房里如何有一个特殊的房间，邪恶的美帝在那里把所有通过光纤的数据都复制了一份存到了他们的邪恶云里，所以我希望各位同学们以后都表再相信电信商的节操了，你信你就被玩了

1969

一看吵架的两位就知道你们维护的系统超级稳定，没啥事故

bulaohu

dlcat 发表于 2014-1-27 11:39
，USB植入木马，我真没听过，不过我知道接触GWF的人，不敢说脱光了，但是进出肯定不是那么简单的 ...

给你个hint: stuxnet，就是搞翻了伊朗的核弹计划的那个，就是USB植入的